Amazon EKS lokale Cluster-VPC- und Subnetz-Anforderungen und -Überlegungen - Amazon EKS
VPC-Anforderungen und -ÜberlegungenSubnetz-Anforderungen und -ÜberlegungenSubnetzzugriff auf AWS-ServicesErstellen einer VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon EKS lokale Cluster-VPC- und Subnetz-Anforderungen und -Überlegungen

Wenn Sie einen lokalen Cluster erstellen, geben Sie eine VPC und mindestens ein privates Subnetz an, das auf Outposts ausgeführt wird. Dieses Thema bietet einen Überblick über die VPC- und Subnetzanforderungen und -überlegungen für Ihren lokalen Cluster.

VPC-Anforderungen und -Überlegungen

Wenn Sie einen lokalen Cluster erstellen, muss die von Ihnen angegebene VPC die folgenden Anforderungen und Überlegungen erfüllen:

  • Stellen Sie sicher, dass die VPC über genügend IP-Adressen für den lokalen Cluster, alle Knoten und andere Kubernetes-Ressourcen verfügt, die Sie erstellen möchten. Wenn die VPC, die Sie verwenden möchten, nicht über genügend IP-Adressen verfügt, erhöhen Sie die Anzahl der verfügbaren IP-Adressen. Das ist möglich, indem Sie zusätzliche CIDR-Blöcke (Classless Inter-Domain Routing) mit Ihrer VPC verbinden. Sie können entweder vor oder nach der Erstellung Ihres Clusters private (RFC 1918) und öffentliche (nicht RFC 1918) CIDR-Blöcke mit Ihrer VPC verbinden. Es kann bis zu 5 Stunden dauern, bis ein CIDR-Block, den Sie einem VPC zugeordnet haben, von einem Cluster erkannt wird.

  • Der VPC dürfen keine IP-Präfixe oder IPv6-CIDR-Blöcke zugewiesen werden. Aufgrund dieser Einschränkungen gelten die in Erhöhen Sie die Anzahl der verfügbaren IP-Adressen für Ihre Amazon-EC2-Knoten und IPv6Adressen für ClusterPods, und services enthaltenen Informationen nicht für Ihre VPC.

  • Die VPC verfügt über einen DNS-Hostnamen und die DNS-Auflösung ist aktiviert. Ohne diese Funktionen kann der lokale Cluster nicht erstellt werden, und Sie müssen die Funktionen aktivieren und Ihren Cluster neu erstellen. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

  • Um über Ihr lokales Netzwerk auf Ihren lokalen Cluster zuzugreifen, muss die VPC der lokalen Gateway-Routing-Tabelle Ihres Outpost zugeordnet sein. Weitere Informationen finden Sie unter VPC-Zuordnungen im AWS Outposts-Benutzerhandbuch.

Subnetz-Anforderungen und -Überlegungen

Geben Sie beim Erstellen des Clusters mindestens ein privates Subnetz an. Wenn Sie mehr als ein Subnetz angeben, werden die Kubernetes-Steuerebene-Instances gleichmäßig auf die Subnetze verteilt. Wenn mehr als ein Subnetz angegeben wird, müssen die Subnetze auf demselben Outpost vorhanden sein. Darüber hinaus müssen die Subnetze auch über die richtigen Routen und Sicherheitsgruppen-Berechtigungen verfügen, um miteinander kommunizieren zu können. Wenn Sie einen lokalen Cluster erstellen, müssen die von Ihnen angegebenen Subnetze die folgenden Anforderungen erfüllen:

  • Die Subnetze befinden sich alle auf demselben logischen Outpost.

  • Die Subnetze verfügen zusammen über mindestens drei verfügbare IP-Adressen für die Kubernetes-Instances der Steuerebene. Wenn drei Subnetze angegeben werden, muss jedes Subnetz über mindestens eine verfügbare IP-Adresse verfügen. Wenn zwei Subnetze angegeben werden, muss jedes Subnetz über mindestens zwei verfügbare IP-Adressen verfügen. Wenn ein Subnetz angegeben wird, muss das Subnetz über mindestens drei verfügbare IP-Adressen verfügen.

  • Die Subnetze verfügen über eine Route zum lokalen Gateway des Outpost-Racks, um über Ihr lokales Netzwerk auf den Kubernetes-API-Server zuzugreifen. Wenn die Subnetze über keine Route zum lokalen Gateway des Outpost-Racks verfügen, müssen Sie mit Ihrem Kubernetes-API-Server von der VPC aus kommunizieren.

  • Die Subnetze müssen eine IP-Adressen-basierte Benennung aufweisen. Die ressourcenbasierte Benennung von Amazon EC2 wird nicht von Amazon EKS unterstützt.

Subnetzzugriff auf AWS-Services

Die privaten Subnetze des lokalen Clusters in Outposts müssen mit regionalen AWS-Services-Services kommunizieren können. Dazu können Sie ein NAT-Gateway für den ausgehenden Internetzugang verwenden oder, wenn Sie den gesamten Datenverkehr innerhalb Ihrer VPC privat halten möchten, Schnittstellen-VPC-Endpunkte verwenden.

Verwenden eines NAT-Gateways

Die privaten Subnetze des lokalen Clusters in Outposts müssen über eine zugeordnete Routing-Tabelle mit einer Route zu einem NAT-Gateway verfügen, das sich in einem öffentlichen Subnetz in der übergeordneten Availability Zone des Outposts befindet. Das öffentliche Subnetz muss über eine Route zu einem Internet-Gateway verfügen. Das NAT-Gateway ermöglicht einen ausgehenden Zugriff auf das Internet und verhindert unerwünschte eingehende Verbindungen aus dem Internet zu Instances im Outpost.

Verwendung von -Schnittstellen-VPC-Endpunkten

Wenn die privaten Subnetze des lokalen Clusters in Outposts keine ausgehende Internetverbindung haben oder wenn Sie den gesamten Datenverkehr innerhalb Ihrer VPC privat halten möchten, müssen Sie die folgenden Schnittstellen-VPC-Endpunkte und den Gateway-Endpunkt in einem regionalen Subnetz erstellen, bevor Sie Ihren Cluster erstellen.

Endpunkt Endpunkttyp
com.amazonaws.region-code.ssm Schnittstelle
com.amazonaws.region-code.ssmmessages Schnittstelle
com.amazonaws.region-code.ec2messages Schnittstelle
com.amazonaws.region-code.ec2 Schnittstelle
com.amazonaws.region-code.secretsmanager Schnittstelle
com.amazonaws.region-code.logs Schnittstelle
com.amazonaws.region-code.sts Schnittstelle
com.amazonaws.region-code.ecr.api Schnittstelle
com.amazonaws.region-code.ecr.dkr Schnittstelle
com.amazonaws.region-code.s3 Gateway

Die Endpunkte müssen die folgenden Anforderungen erfüllen:

  • Sie müssen in einem privaten Subnetz erstellt werden, das sich in der übergeordneten Availability Zone Ihres Outposts befindet.

  • Private DNS-Namen müssen aktiviert sein.

  • Sie müssen über eine angefügte Sicherheitsgruppe verfügen, die eingehenden HTTPS-Datenverkehr aus dem CIDR-Bereich des privaten Outpost-Subnetzes zulässt.

Für die Erstellung von Endpunkten fallen Gebühren an. Weitere Informationen finden Sie unter AWS PrivateLink Preise. Wenn Ihre Pods Zugriff auf andere AWS-Services benötigen, müssen Sie zusätzliche Endpunkte erstellen. Eine umfassende Liste der Endpunkte finden Sie unter AWS-Services, die in AWS PrivateLink integriert werden.

Erstellen einer VPC

Sie können eine VPC erstellen, die die vorherigen Anforderungen erfüllt, indem Sie eine der folgenden AWS CloudFormation-Vorlagen verwenden:

  • Vorlage 1 – Diese Vorlage erstellt eine VPC mit einem privaten Subnetz im Outpost und einem öffentlichen Subnetz im AWS-Region. Das private Subnetz verfügt über eine Route zum Internet über ein NAT-Gateway, das sich im öffentlichen Subnetz im AWS-Region befindet. Diese Vorlage kann verwendet werden, um einen lokalen Cluster in einem Subnetz mit ausgehendem Internetzugriff zu erstellen.

  • Vorlage 2 – Diese Vorlage erstellt eine VPC mit einem privaten Subnetz auf dem Outpost und der Mindestanzahl von VPC-Endpunkten, die erforderlich sind, um einen lokalen Cluster in einem Subnetz zu erstellen, das über keinen eingehenden oder ausgehenden Internetzugriff verfügt (auch als privates Subnetz bezeichnet).